M2M/IoTのサイバーセキュリティの現状
ここからは総括として、M2M/IoTのサイバーセキュリティの現状について、本連載で述べてきたことをまとめてみよう。
〔1〕「重要インフラ型」と「情報利用型」
連載第1回(本誌2015年9月号)で考察したように、M2M/IoTのサイバーセキュリティについては、「エッジデバイス」「通信網」「クラウド/データセンター」の3層に分けて考えることができる(図1)。
図1 M2M/IoTにおけるセキュリティ対象の層
出所 インテル セキュリティ資料より
また、この3層それぞれにおいて、「完全性」「可用性」「機密性」注5の重要度を分析すると、業界ごとに異なっている注6。この分析結果から、完全性、可用性を主に重視する業界を「重要インフラ型」、機密性を重視する業界を「情報利用型」と名付けた。
「重要インフラ型」は、国や業界団体が中心となってサイバーセキュリティに関する規制やガイドラインが策定される方向にある。
一方、「情報利用型」については、既存のプライバシーに関する法律が適用されつつも、情報を利用する場合に、ユーザーに承諾を得る仕組みなどを業界ごとに自主規制的に行っているのが現状である。このタイプにおいては、未だガイドラインのレベルにまで達しているものは、国際的にも見当たらない。
〔2〕米国の取り組み
国レベルの取り組みを個別に見た場合、やや先行しているのが米国である。第一の取り組みとして、連載第3回(2015年11月号)で紹介したM2M/IoT ソリューションの開発フレームワークである「NIST CPS Framework v0.8注7」の発表が挙げられる。また、NERC注8
やNISTが策定している電力業界向けのセキュリティガイドラインは、電力事業者において義務と任意のものがうまく組み合わされて活用されており、電力業界全体のセキュリティレベルを向上させている。
〔3〕EUの取り組みと「NIS Directive」
これに対して、国ごとの事情が異なる欧州では、EU(欧州連合)レベルでの取り組みに目立ったものはなく、各国においても、米国ほど明確なガイドラインがあるわけではない。しかし、「重要インフラ型」の業界においては、連載第3回(2015年11月号)の紹介以降、進展があるので紹介しておく。
2015年12月、EUでは、「NIS Directive(Network and Information Security Directive)」と呼ばれる「情報セキュリティに関する指令」(EUの各加盟国における法律化を求める強制力がある)についての合意がなされた。
この指令によると、加盟国において、必要不可欠なサービスを提供する、「エネルギー」「輸送」「金融」「医療分野」およびクラウドコンピューティングやサーチエンジンのような重要なデジタルサービスを提供する事業者は、適切なセキュリティ対策を行ったうえで、サイバーインシデント注9が発生した場合には、国家機関への報告が求められることになる。
〔4〕日本国内の取り組み
このような流れは、日本国内においても同様であり、内閣サイバーセキュリティセンター注10を中心に、各省庁でガイドライン策定の検討が行われている。
▼ 注5
完全性:対象のシステムやサービスに関する情報が破壊、改ざんまたは消去されていない状態を確保すること。
可用性:対象のシステムやサービスが稼働し続けること。
機密性:情報(主に個人情報)を保護すること。
▼ 注6
本誌2015年10月号(連載第2回)17ページ表1参照。
▼ 注7
NIST(ニスト):National Institute of Standards and Technology、米国国立標準技術研究所。米国の商務省の傘下にあり、産業技術に関する規格の標準化の促進や、調達仕様の策定などを行っている政府機関(標準策定機関ではない)。具体的には、米国の産業競争力を高める目的で、科学技術分野における計測、標準、産業技術に関する研究が行われている。
CPS:Cyber Physical Systems、サイバーフィジカルシステム。NISTの定義では、物理的なデバイスとコンピューティング要素が、エンジニアリングによって生み出された相互作用ネットワークを含むスマートシステムのこと。
NIST CPS Framework v0.8:NISTのCPS PWGから、2015年9月18日にドラフト版(ver.0.8)としてリリースされたCPSシステムの開発を促進するためのフレームワーク。
CPSをはじめIoT、M2Mなど類似の言葉が乱立するなかで、まずはCPSにおける基礎的な概念や開発手順の定義を行う。その後、関係者間での認識の相違をなくし、自由な意見交換ができるようにすることを目的としている。
▼ 注8
NERC(ナーク):North American Electric Reliability Corporation、北米電力信頼度評議会。米国連邦エネルギー規制委員会(FERC)から、北米唯一の電力信頼度機関(ERO:Electric Reliability Organization)として認定されている機関。電力システムの信頼性向上のために作られた民間の団体。
▼ 注9
サイバーインシデント:サイバーセキュリティに関する不測の事態。
▼ 注10
内閣サイバーセキュリティ
センター:NISC(National center of Incident readiness and Strategy for Cybersecurity)
